Meta и Yandex годами следили за пользователями Android — детали

Компании Meta и Yandex в течение месяцев (а в случае с Yandex — годами) отслеживали веб-активность пользователей Android, используя малоизвестную уязвимость в системе. Обе компании получали идентификационные данные из браузеров пользователей, если на их устройствах были установлены соответствующие приложения.

Об этом пишет Lifehacker.

Как работал процесс отслеживания

Суть метода заключается в использовании так называемого "локального адреса" (localhost), который позволяет приложениям с доступом к интернету взаимодействовать с браузером устройства. В обычном сценарии это техническая функция для внутренней коммуникации системы, но исследователи обнаружили, что через JavaScript-скрипты — Meta Pixel и Yandex Metrica — компании могут получать данные о веб-просмотрах.

Эти скрипты должны были работать только в пределах сайтов, но благодаря лазейке данные (в частности куки, идентификаторы сессий и поведенческая информация) передавались непосредственно в приложения Instagram, Facebook, Yandex Maps и другие. Это означает, что даже после обычного посещения сайта с Meta Pixel установленное приложение могло получить ваши браузерные данные — без вашего ведома или разрешения.

Уязвимыми оказались браузеры Chrome, Firefox и Edge. DuckDuckGo блокировал некоторые домены, поэтому пострадал минимально. Браузер Brave вообще не позволял подобные запросы без согласия пользователя, поэтому его удалось уберечь.

По данным исследования, Yandex начал использовать эту технику еще в 2017 году на HTTP-сайтах, а в 2018 — на HTTPS. Meta активировала подобную слежку в сентябре 2024 года, но уже в октябре прекратила. В дальнейшем они использовали другие протоколы — WebSocket и WebRTC.

Несмотря на жалобы владельцев сайтов, которые начали поступать в Meta еще в сентябре, компания на них не реагировала. Это может свидетельствовать о сознательном игнорировании проблемы.

Исследователи отметили, что технически подобная слежка возможна и на iOS, однако ограничения Apple по фоновым процессам, вероятно, не позволили реализовать подобную практику на iPhone. По крайней мере, доказательств этого пока нет.

По состоянию на 5 июня исследователи больше не фиксируют взаимодействие Meta Pixel с локальным хостом. Yandex пообещала прекратить такую практику, а Google открыла расследование относительно действий, которые грубо нарушают принципы безопасности и конфиденциальности.

Напомним, WhatsApp, владельцем которого является Meta, снова вызвал волну недовольства среди пользователей — на этот раз из-за навязчивой кнопки Meta AI. Многие уже окрестили ее "издевательством" над приложением.

Также мы писали, что современные смартфоны уже давно вышли за пределы обычных средств связи — они могут стать объектами скрытой слежки. Шпионское программное обеспечение часто не оставляет явных следов, поэтому важно обращать внимание на косвенные признаки и подозрительное поведение устройства.